Vorabkontrolle im Datenschutz-Alltag / 1 Vorabkontrolle – die Königsdisziplin des Datenschutzbeauftragten

Die Vorabkontrolle ist einerseits die Königsdisziplin des Datenschutzbeauftragten, andererseits wohl diejenige seiner Pflichten, die in der Praxis am häufigsten falsch verstanden, falsch interpretiert und falsch durchgeführt wird. Dies ist umso erstaunlicher, als sie nur vom Datenschutzbeauftragten und von sonst niemandem ausgeführt werden darf. Die Vorabkontrolle sichert die Stellung des Datenschutzbeauftragten. Sie müsste daher eigentlich eher eines seiner Lieblingsthemen sein. Stattdessen stellt man in der betrieblichen und behördlichen Praxis immer wieder fest, dass die Vorabkontrolle ungeliebt ist und (gerne?) übersehen wird. Dies mag auch auf Unsicherheit oder auf mangelnder Erfahrung beruhen, dennoch stellt die Vernachlässigung der Vorabkontrolle im Zweifel einen ernst zu nehmenden Verstoß gegen datenschutzrechtliche Vorschriften und gegen die Pflichten des Datenschutzbeauftragten dar.

Dabei bietet die Vorabkontrolle, wenn sie richtig gemacht wird, für die Unternehmen die Gewähr, dass die automatisierten Verfahren, die durch die Vorabkontrolle geprüft werden, datenschutzkonform ablaufen können, wenn die Hinweise des Datenschutzbeauftragten ernst genommen und umgesetzt werden. Man kann noch weiter gehen: die meisten Datenschutzskandale der letzten Jahre hätten vermieden werden können, wenn eine Vorabkontrolle korrekt durchgeführt worden wäre und die entsprechenden Hinweise der jeweiligen Datenschutzbeauftragten ernst genommen worden wären, denn dann hätten die Fallstricke, die zum Datenschutzskandal mit allen seinen finanziellen und Image schädigenden Folgen geführt haben, rechtzeitig erkannt und vermieden werden können.

Nur wenig Unterstützung in der Datenschutzliteratur

Über die wesentlichen Pflichten des Datenschutzbeauftragten gibt es mittlerweile umfangreiche Literatur. Wer sich mit Verfahrensverzeichnissen und den dazu erforderlichen Verfahrensbeschreibungen beschäftigt, findet Dutzende brauchbarer Dokumente und Checklisten im Internet, ebenso bei der Dokumentation der technischen und organisatorischen Maßnahmen. Beides wird übrigens bei der Vorabkontrolle benötigt. Über aktuelle Gefährdungspotenziale beim Datenschutz werden Hunderte von Blogs geführt.

Nur die Vorabkontrolle findet so gut wie keine Unterstützung, wenn man mal von einer Handvoll weitgehend identischer Hinweise bei den Landesbeauftragten für Datenschutz absieht, und auch diese sind in der Mehrzahl auf öffentlich-rechtliche Institutionen abgestellt mit den entsprechenden Hinweisen auf die Landesdatenschutzgesetze. Mit Ausnahme der Aufsichtsbehörde des Landes Hessen, die eine gut verständliche und anzuwendende Orientierungshilfe zur Vorabkontrolle (allerdings nur für Behörden, für die das Hessische Landesdatenschutzgesetz gilt) veröffentlicht hat, ist aktuell kaum eine Unterstützung der Datenschutzbeauftragten vorhanden. Der vorliegende Beitrag richtet sich in Teilen nach der dort vorgenommenen Strukturierung der Vorabkontrolle.

Ungeliebte Vorabkontrolle

Es bleibt festzustellen, dass die Vorabkontrolle für betriebliche und externe Datenschutzbeauftragte, sofern sie für nicht-öffentliche Unternehmen tätig sind, ein weißer Fleck in der Datenschutzliteratur ist.

Vielleicht liegt es an folgenden Merkmalen:

• Das Bundesdatenschutzgesetz enthält die spärlichen Regelungen zur Vorabkontrolle erst seit der Novelle 2001, ausgelöst durch die EU-Richtlinie von 1995.
• Die Vorabkontrolle befindet sich im BDSG im § 4d "Meldepflicht" im Absatz 5 – hätte man sie verstecken wollen, wäre das kaum besser möglich gewesen.
• Der Bußgeldkatalog des BDSG sieht kein direktes Bußgeld vor, wenn die Vorabkontrolle fahrlässig oder vorsätzlich nicht ausgeführt wurde.
• Ein Verfahren der automatisierten Verarbeitung von personenbezogenen Daten darf vom Gesetz her selbst dann eingesetzt werden, wenn der Datenschutzbeauftragte zuvor nicht geprüft hat, ob das Verfahren den datenschutzrechtlichen Bestimmungen entspricht.
• Die Vorschriften, wann und wie eine Vorabkontrolle durchzuführen ist, sind so schwammig formuliert, dass selbst Fachleute unterschiedlichste Kommentare hierzu abgeben – wie soll sich dann ein "einfacher" Datenschutzbeauftragter hier auf sicherem Terrain bewegen? Hinzu kommt, dass die Aufsichtsbehörden in einigen Bundesländern so überlastet sind, dass kaum zeitnahe Unterstützung bei Zweifelsfällen zu erwarten ist, die Verfahren aber aus betriebsorganisatorischen Gründen nicht auf die lange Prüfbank geschoben werden dürfen.
• Selbst in den wenigen klaren Fällen, die das Gesetz definiert, gibt es Ausnahmen, die man i. d. R. erst erkennen kann, wenn die Vorabkontrolle zu einem großen Teil bereits durchgeführt wurde.
• Und schließlich ist nirgendwo ein klarer Ablaufplan für die Durchführung der Vorabkontrolle vorgegeben – anders als etwa beim § 9 BDSG, wo die Anlage immerhin die wesentlichen Kontrollen definiert, die durchzuführen sind.